Il dato che ridisegna la mappa del rischio digitale arriva dal rapporto Hacken sulla sicurezza Web3: tra gennaio e marzo 2026, il 63 per cento delle perdite complessive – circa 306 milioni di dollari su un totale di 482 – è stato generato da attacchi di phishing e social engineering. Non si tratta più, o non soltanto, di vulnerabilità tecniche dei sistemi, ma di un’aggressione sistematica alla componente umana, con un’impennata del 146 per cento dei tentativi di QR phishing rilevati da Microsoft Threat Intelligence, passati da 7,6 a 18,7 milioni in un solo trimestre. L’intelligenza artificiale generativa, spiegano gli analisti del settore, consente oggi di costruire messaggi, email e persino intere identità di customer service talmente verosimili da superare le tradizionali difese basate sul riconoscimento degli errori formali.

La risposta europea a questa escalation si è materializzata in un pacchetto normativo e industriale che la vicepresidente della Commissione Henna Virkkunen, intervenendo al World Tech Conference di Milano, ha definito un’occasione per costruire sovranità tecnologica senza chiudere le porte agli investimenti globali. Il Cyber Resilience Act, i cui obblighi di documentazione e gestione delle vulnerabilità sono in vigore da settembre 2026, impone a tutti i prodotti IoT con elementi digitali – oltre il 90 per cento del mercato – aggiornamenti di sicurezza per l’intero ciclo di vita quinquennale e notifica degli incidenti entro 72 ore, con sanzioni fino a 15 milioni di euro o al 2,5 per cento del fatturato globale. Parallelamente, Bruxelles spinge affinché i governi valutino il rischio dei servizi cloud pubblici nei settori sensibili – difesa, sicurezza, forze dell’ordine – e prepara linee guida per i casi d’uso ad alto rischio dell’intelligenza artificiale, aperte alla consultazione fino al 23 luglio.

Il fenomeno non ha confini geografici. In Iran, la polizia specializzata Fata segnala un’ondata di sms fraudolenti che sfruttano temi di immediata presa emotiva – sussidi, false citazioni giudiziarie, vincite a concorsi – per indurre le vittime a installare malware capaci di svuotare conti correnti e di propagare richieste di denaro ai contatti rubati. Anche in questo caso, il meccanismo è lo stesso: l’anello debole è la persona, non il codice. Le autorità di Teheran hanno attivato un’unità di coordinamento bancario, Kashf, che opera 24 ore su 24 per il blocco dei conti su ordine della magistratura, ma la prevenzione resta affidata alla consapevolezza degli utenti.

Sul fronte industriale, aziende come Kigen – intervenuta all’MWC IoT Summit di Shanghai – interpretano il nuovo quadro regolatorio europeo non come un costo di conformità, ma come un vantaggio competitivo strutturale. La loro piattaforma eSIM, già operativa su oltre 250 reti, ha dimostrato di poter distribuire patch di sicurezza in 72 ore in coordinamento con GSMA ed ENISA, offrendo ai produttori uno strumento per soddisfare i mandati del Cyber Resilience Act prima ancora che diventino cogenti per tutti. Il prossimo appuntamento da osservare è l’entrata in vigore piena degli obblighi CRA per i prodotti in fase di sviluppo destinati al mercato 2027, mentre la consultazione europea sull’AI ad alto rischio definirà il perimetro concreto entro cui le imprese italiane ed europee dovranno muoversi.